wordpressで効果的なセキュリティ設定3つ【簡単・図解】

ワードプレスセキュリティブログ運営
スポンサーリンク

wordpressをインストールしたけど、セキュリティ設定がよくわからない。

いろんなサイトを見てるけど、結局何をやったらいいかわからない。

この気持ちわかります。

 

いろんなサイトでセキュリティ設定が紹介されてますが、

  • なぜこのセキュリティ設定が必要なのか
  • セキュリティ設定をしたら、どういう効果があるのか

がわからないことが多いですよね。

 

本記事ではなるべく効果的なWordPressのセキュリティ設定を説明します。

 

本記事を書いた僕は、

  • インフラエンジニアとして20年以上のキャリア
  • セキュリティの資格:情報処理安全確保支援士
  • セキュリティ事故の解析経験

があります。

 

本記事の内容

・wordpressインストール後にセキュリティ設定が必要な理由
・【簡単・図解】wordpressで効果的なセキュリティ設定

 

スポンサーリンク

wordpressインストール後にセキュリティ設定が必要な理由

サイバー犯罪

インターネットに関するセキュリティニュース等を見ていると、wordpressのセキュリティが心配になりますよね。

 

「wordpressでブログを公開」

することは、つまり、、

「インターネットにWebサイトを公開」

することになります。

 

自身のWebサイトをインターネットに公開する際に

最も重要なことは一言で表現すると次のようになります。

インターネットを利用する全世界のユーザに迷惑をかけないこと

 

インターネットには様々なセキュリティリスクがあります。

 

自身のWebサイトを安全に管理していかないと

被害者になるだけではなく加害者にもなる可能性があります

 

ーーーーーーーーーーーーーーーーーーーーー

 

セキュリティを考える上で「脆弱性」の理解が重要です。

これは、、

ハッカーに攻撃される要因

と考えるとわかりやすいと思います。

 

例えば以下のようなものが「脆弱性」になります。

 

  • 安易なユーザIDやパスワードを使っていた。
  • wordpressインストール後に何もセキュリティ設定をしていなかった。
  • wordpressテーマやプラグインにバグがあるのに、バージョンアップを放置していた。

 

 

これらの脆弱性を悪用されると、、

自身のWordPressブログが攻撃され世界中にマルウェアを配布するサイトに書き換えられる可能性があります。

 

このため、WordPressインストール後にセキュリティ設定を実施していない場合は、見直しが必要です。

 

スポンサーリンク

【簡単・図解】wordpressで効果的なセキュリティ設定

ノートPCを操作

それでは、wordpressで簡単に設定ができ、効果的なセキュリティ設定について説明します。

事前準備

HTTPS

事前準備として、SSL設定wordpressパスワードの再設定をします。

wordpressインストール後は、パスワードはまだ暗号化されずに通信されているため、必ずSSL設定後にパスワードを再設定しましょう!

 

SSL設定

SSL設定については、有名ブロガーさんたちが「wordpressブログの始め方」と題してわかりやすく説明してくれているので、そちらを参照されてもOKです。

手順は以下となります。

1.レンタルサーバでSSL設定をする。

有名なレンタルサーバであれば、SSL設定に関する手順を用意してくれているので、手順に従って設定をしてみてください。参考までに、各レンタルサーバー会社のSSL設定のリンクを書いておきます。

・XSERVER(エックスサーバー)
▶ https://www.xserver.ne.jp/manual/man_server_ssl.php

・Conoha WING
▶ https://support.conoha.jp/w/letsencrypt/

・mixhost
▶ https://help.mixhost.jp/hc/ja/articles/115003735211

・ロリポップ!
▶ https://lolipop.jp/manual/user/ssl-free-order/

・カラフルボックス
▶ https://help.colorfulbox.jp/manual/free-ssl-use/

 

2.wordpressにログイン後、一般設定をクリックします。

ワードプレス一般設定選択

3.URLの「http」の後に「s」を入力して保存します。

※入力は「s」を追記するだけです。
※「変更を保存」ボタンは画面の下のほうにあります。

ワードプレスでURLをhttpsに変更

 

以上でSSL設定は完了です。

 

パスワード再設定

いつものwordpress管理サイトにhttpsでアクセスして、パスワードの再設定をします。

手順は以下となります。

1.httpsでwordpress管理サイトにアクセスしてログインします。

例) https://サイトURL/wp-login.php

ワードプレスログイン

2.プロフィール画面を表示する。

ワードプレスのプロフィール画面

3.プロフィール画面の「パスワードを生成する」ボタンをクリックする。

ワードプレスのパスワード変更画面1

4.新しいパスワードを入力し、「プロフィールを更新」ボタンをクリックする。

ワードプレスのパスワード変更画面2

※パスワードは、8文字以上で英数字と記号を含むようにしましょう。
※「プロフィールを変更」ボタンは画面の下のほうにあります。

 

【設定1】メタ情報の削除

ノートパソコン2

wordpressインストール後はウィジェットにメタ情報が表示されています。このメタ情報があると、誰でも管理画面に容易にアクセスできてしまうので削除しましょう。

 

手順は以下となります。

 

1.wordpressにログインしてウィジェット画面を表示する。

ワードプレスウィジェット1

 

2.画面右側にある「サイドバースクロール追従」の「▼」をクリックする。

ワードプレスウィジェット2

 

3.メタ情報の「▼」をクリックする。

ワードプレスウィジェット3

 

4.「削除」をクリックする。

ワードプレスウィジェット4

 

メタ情報の削除は以上となります。

 

【設定2】wordpress管理サイトへの不正アクセス防止設定

ノートパソコンでワードプレス操作

wordpress管理サイトに不正アクセスされてしまうと、コンテンツを改ざんされ、マルウェアのような不正プログラムを埋め込まれてしまいます。

 

これを防止する方法としては、

  • 国外からのアクセスをブロック
  • SiteGuard WP Pluginを導入

が効果的です。

両方実施することをおすすめします。

 

国外からのアクセスをブロック

不正アクセスの大半は国外からです。これをブロックする設定は、レンタルサーバーの管理サイトで簡単に設定ができます。

 

例として、XSERVER(エックスサーバー)の設定手順は以下になります。

 

1.XSERVERのサーバパネルにログインして、WordPressセキュリティ設定をクリックする。

エックスサーバーのWPセキュリティ設定

 

2.自身のブログサイトの独自ドメインを選択します。

エックスサーバのドメイン選択画面

 

3.国外IPアクセス制限設定の画面ですべてONに設定します。

エックスサーバのWP用IP制限

 

以上となります。これで国外からのアクセスはブロックされます。

 

※例として、XSERVERを書きましたが、他のレンタルサーバー会社でも同じ設定ができます。

 

SiteGuard WP Pluginを導入

WordPressプラグインに「SiteGuard WP Plugin」というプラグインがあり、WordPress管理サイトのセキュリティを高くすることができます。

具体的に言うと、以下のハッカー攻撃から守ることができます。

  • ブルートフォース攻撃(パスワード総当り攻撃)
  • パスワードリスト攻撃

 

ブルートフォース攻撃は別名のとおり、よく使用されるパスワードリストをすべて試行される攻撃です。

 

パスワードリスト攻撃は、他サイトで使用しているパスワードが流出し、同じパスワードまたは類似のパスワードを試行される攻撃です。

 

これらの攻撃から自身のブログサイトを守るための設定手順は以下となります。

 

1.WordPressにログインし、「プラグイン」の「新規追加」をクリックします。

ワードプレスでプラグインを追加

 

2.「SiteGuard WP Plugin」を検索し、インストールします。

SiteGuardの画面1

 

3.「SiteGuard WP Plugin」を有効にします。

SiteGuardの画面2

 

4.プラグイン一覧画面が表示されるので、「新しいログインページURL」をクリックします。

SiteGuardの画面3

 

5.新しいログイン画面のURLをお気に入りに追加して、下図のようにログインします。

SiteGuardの画面4

 

6.WordPressメニューにある「SiteGuard」をクリックします。

siteguardのメニュー

 

7.管理ページアクセス制限をクリックします。

SiteGuardの画面5

 

8.管理ページアクセス制限を「ON」にすて「変更を保存」をクリックします。

SiteGuardの画面6

 

以上で、「SiteGuard WP Plugin」の設定は完了です。

ここまでの設定でWordPress管理サイトに不正アクセスされて、自身のブログサイトが改ざんされる可能性は低くなりました。

 

但し、公開しているWebコンテンツの脆弱性を悪用されることについては、まだ対策ができていません。次章でその対策について説明します。

 

【設定3】レンタルサーバーの管理サイトでWAFを有効にする

セキュリティスキャン

本記事の最後の対策として、WAFについて説明します。

 

WAFはWeb Application Firewallの略で、公開しているWebコンテンツの脆弱性についてセキュリティを向上してくれる機能です。

 

例として、XSERVER(エックスサーバー)の設定手順は以下になります。

 

1.エックスサーバーのサーバパネルにログインし、「WAF設定」をクリックします。

エックスサーバーのWAFメニュー

 

2.WAFの機能をすべて「ON」にして「確認画面へ進む」をクリックします。

エックスサーバーのWAF設定

 

3.確認画面で保存をして完了です。

 

※WAFについては、有名なレンタルサーバー会社であれば、標準提供されています。各レンタルサーバー会社のWAFの概要については以下の記事にまとめています。

 

本記事は以上となります。

 

wordpressでブログをこれから始める人や、すでに始めているけどセキュリティ対策を何も実施していない人は是非、本記事を読んで必要最低限のセキュリティ設定を実施してみてください。

 

この記事が気に入っていただけたらフォローお願いします!